这个操作手册描述了如何使用XDR 发现事件来调查基于漏洞和扫描活动的事件。
这个操作手册为SOC工程师提供了一种系统的方法来调查与扫描活动和漏洞相关的潜在安全事件。 它提供了一个框架,用于收集初始信息,分析网络流量,并对威胁的性质得出结论。
该操作手册帮助您识别基于扫描活动和漏洞利用的攻击在网络中不同阶段的攻击。 这些是通常与这些攻击相关的一些策略:
-
侦察
-
初始访问
-
权限升级
-
横向移动
-
数据泄露
本节解释了识别源于扫描活动或漏洞利用尝试的攻击的调查工作流程。
使用故事中的 详情 小组件收集关于潜在威胁的基本信息。 查看故事的 描述。 这可以基于生成故事的逻辑帮助集中调查。 此外,相似事件部分展示分享相似指标和可观测事件的其他事件。
要决定是否需要进一步调查,请查看其他数据,例如:
-
方向: 这影响调查过程,更多信息请见步骤 3 - 根据方向调查。
-
来源/目标: 此标签显示有关受影响设备的数据。
注意: 对于入站事件,目标指的是受影响的主机,而来源指的是位于Cato之外的被调查对象。 这有时可能是由于未设置为Cato网络的一部分的设备或站点,或由配置错误引起的。
-
指示目录: 这有助于了解指示的逻辑。
在一个扫描器事件中,您可以根据触发事件的签名和签名中指示的应用程序识别扫描器类型。 这些可以与特定类型相关联,如Nessus或Qualys,或基于通用服务/应用程序和流量量。
在一个漏洞事件中,事件中的参考帮助您理解漏洞并将调查集中在相关的IOC上。
事件中的威胁参考字段提供了查找国家漏洞数据库中的威胁的链接。
事件的方向影响调查的后续步骤:
调查这一阶段的目的是识别和验证来自外部对手的信息收集/渗透尝试的可能性。
在来源表中,检查已识别的来源以确定其潜在的恶意意图:
-
对表格参数进行风险评估分析:评估参数,如恶意分数、受欢迎程度、相关类别以及与来源相关联的威胁情报源的数量,以确定来源的恶意可能性。
-
使用来源链接进行外部搜索:使用知名第三方搜索引擎和安全数据库进行外部搜索。 寻找与来源相关的任何历史背景、关联或恶意行为指标。 关联所收集的数据以识别来源和其他实体之间的联系,并尝试确定是否与已知的威胁行为者、活动或技术有任何联系。
-
攻击相关流量/事件:使用指定的表格检查与触发的事件对应的未处理数据流样本。 分析流量中的补充数据点,如URL、用户代理、文件名和其他相关属性,并将这些参数与先前调查步骤的结果进行比较,以获得有关通信来源最终判断的见解。
在了解基于事件相关事件的威胁类型后,深入了解相关事件以获得有关流量的更多见解很重要。 例如:
-
验证流量并根据与事件中发现的数据相关的签名的参考,将其分类为真正阳性或真正阴性。
-
了解威胁的范围:
-
检查来自通信来源的附加流量,以了解该通信是新的还是之前出现过的。
-
检查具有相似流量特征(应用程序,目标端口)的其他来源
-
检查被调查来源通信的额外目标/主机
-
检查事件之间的差异,例如不同的URL、目标端口、请求方法等。
-
检查交通是否基于操作字段被阻止
-
结论
对于扫描器调查,有多个已知扫描器和扫描方法的分类,例如:
-
Nessus
-
Nmap
-
Xmas
-
Ping 扫描
对于漏洞调查,有已知漏洞的分类,例如:
-
SQL 注入
-
跨站点脚本注入(XSS 注入)
如果故事中不存在的特定漏洞不在分类列表中,您可以通过点击新建并填写相关字段将其在本地添加到您的账户中。
如果这个故事是一个真正的阳性并且未被阻止,强烈建议将被调查的来源添加到RPF策略黑名单中。 更多信息,请见账户的远程端口转发配置。
如果这个故事是一个误报,您可以将其分类为良性/信息型,并将其添加到静音事件规则中。 (如果事件是合法的扫描/渗透测试的结果,建议将其添加到特定时间范围的静音事件规则中。)
调查的目的是识别和验证可能的信息泄露、指挥与控制流量、僵尸网络活动等。
在目标表中,检查已识别的目标以确定其潜在的恶意意图:
-
对表格参数进行风险评估分析:评估参数,如恶意分数、受欢迎程度、相关类别以及与目标相关联的威胁情报源的数量,以确定目标的恶意可能性。
-
使用目标链接进行外部搜索:在出站扫描活动的情况下,目标调查可能很困难,因为大多数通信的目标未被许多安全引擎识别且缺乏外部数据。
然而,建议使用外部源找到尽可能多的背景,使用任何历史背景、关联或与目标相关的恶意行为指标。 关联所收集的数据以识别目标和其他实体之间的联系,并尝试确定是否与已知的威胁行为者、活动或技术有任何联系。
-
攻击相关流量/事件:使用指定的表格检查与触发的事件对应的未处理数据流样本。 分析流中的补充数据点,如目标端口、应用程序、URLs、用户代理、目标国家和其他相关属性,并将这些参数与先前调查的发现进行比较,获取关于通信目标最终判定的洞察力。
在根据事件中的相关事件了解威胁类型后,深入研究相关事件以获取关于流量的更多洞察。 例如:
-
验证流量并基于签名的参考与事件中发现的数据相关联,将其分类为真正的正面或负面。
-
理解威胁的范围:
-
检查来自通信目标的额外流量以了解此通信是新的,还是以前见过。
-
检查具有类似流量特征(应用程序,目标端口)的其他目标。
-
检查被调查的目标所通信到的其他目标/主机。
-
检查事件之间的差异,例如不同的URLs、不同的目标端口、请求方法等。
-
检查基于操作字段的流量是否被阻止。
结论
对于扫描仪调查,有多种已知扫描仪和扫描方法的分类,例如:
-
ICMP扫描
-
SYN扫描
-
SMTP扫描
对于漏洞调查,有已知漏洞的分类,例如:
-
SQL注入
-
跨站脚本注入(XSS注入)
如果在分类列表中没有发现与故事相关的具体漏洞,您可以单击新建然后填写相关字段,来在本地添加。
如果故事是一个真正的正面且未被阻止,强烈建议将调查的目标添加到互联网络防火墙阻止规则中。 此外,对于IPS签名列入允许列表的情况,建议使用防火墙规则阻止或通过编辑IPS允许规则仅包含已知目标。
如果故事是一个假阳性,您可以将其分类为良性/信息性,还可以将其添加到静音故事规则中。 如果故事是来源于合法扫描/渗透测试,建议在特定时间范围内将其添加到静音故事规则中。
-
调查的目的是识别和验证可能的数据外泄、横向移动、权限提升等案例。
目标表可为所有通信目标提供可见性。
利用此表检查触发事件对应的未处理的数据流样本。 分析流中的补充数据点,如URLs、用户代理、文件名和其他相关属性,并将这些参数与先前调查步骤的发现进行比较,获取关于通信来源最终判定的洞察力。
在根据事件中的相关事件了解威胁类型后,深入研究相关事件以获取关于流量的更多洞察。 例如:
-
验证流量并基于签名的参考与事件中发现的数据相关联,将其分类为真正的正面或负面。
-
理解威胁的范围:
-
检查来自通信来源的额外流量以了解此通信是新的,还是以前见过。
-
检查具有类似流量特征(应用程序,目标端口)的其他来源。
-
检查被调查的来源所通信到的其他目标/主机。
-
检查事件之间的差异,例如不同的URLs、不同的目标端口、请求方法等。
-
检查基于操作字段的流量是否被阻止。
对于扫描仪调查,有多种已知扫描仪/扫描方法的分类,例如:
-
Nessus
-
Nmap
-
Xmas
-
Ping Sweep
对于漏洞调查,有已知漏洞的分类,例如:
-
SQL注入
-
跨站脚本注入(XSS注入)
如果在分类列表中没有发现与故事相关的具体漏洞,您可以单击新建然后填写相关字段,来在本地添加。
如果故事是一个真正的正面且未被阻止,强烈建议将调查的目标添加到WAN防火墙阻止规则中。 此外,对于IPS签名列入允许列表的情况,建议使用防火墙规则阻止或通过编辑IPS允许规则仅包含已知目标。
如果故事是一个假阳性,您可以将其分类为良性/信息性,还可以将其添加到静音故事规则中。 如果故事是来源于合法扫描或渗透测试,建议在特定时间范围内将其添加到静音故事规则中。
-
0 条评论
请登录写评论。